OkoBot il framework modulare che carpisce le seed phrase da dentro Ledger Live e Trezor Suite

OkoBot: il framework modulare che carpisce le seed phrase da dentro Ledger Live e Trezor Suite

Il team GReAT di Kaspersky ha documentato nel report di Securelist OkoBot, un framework malevolo composto da oltre venti moduli che colpisce gli utenti di criptovaluta su Windows. La catena di attacco è stata ridisegnata a fine aprile 2025; la telemetria sulle vittime copre il periodo aprile 2025-giugno 2026 e GReAT ne ha identificato gli attacchi a gennaio 2026. La campagna è attiva da oltre un anno ed è tuttora in corso, con centinaia di vittime in più di venticinque Paesi, concentrate in Brasile, Vietnam, Canada, Messico e Turchia. Secondo Dmitry Galov (GReAT), citato nel comunicato di Kaspersky, i vettori osservati indicano gli sviluppatori tra i bersagli primari: un dettaglio che sposta la vicenda dal solo furto di criptovaluta al rischio d’ingresso in ambienti aziendali.

Vettori d’ingresso: repository GitHub fasulli e ClickFix

Il primo canale è la tecnica ClickFix, che induce la vittima a incollare ed eseguire comandi apparentemente innocui. Il secondo è più raffinato: un repository GitHub esistito da fine marzo 2025 a giugno dello stesso anno, composto dal solo README.md con una finta guida d’installazione in stile ufficiale, indicizzato in cima ai risultati dei motori per la query SSMS . Il pacchetto che prometteva SQL Server Management Studio consegnava in realtà una versione dell’editor audio Audacity con un impianto malevolo incorporato in una libreria. Non è avvelenamento della catena di fornitura, perché non risultano compromessi né un pacchetto legittimo né l’account di un manutentore: è abuso di piattaforma e SEO poisoning. Il perno, tuttavia, è lo stesso già osservato nelle campagne di pacchetti open source avvelenati contro gli sviluppatori, la fiducia implicita negli strumenti di lavoro quotidiani. Cambia il vettore, resta la superficie.

La catena e la persistenza RDP

Lo script TookPS installa SSH sulla macchina della vittima, apre una connessione verso il server SSH controllato dagli attaccanti e inoltra la porta del demone SSH locale. Dopo un ritardo, è un bot SSH automatizzato, operante lato attaccante, a collegarsi alla porta inoltrata per consegnare i payload: il bot non risiede sull’host colpito. È questo bot a costruire la persistenza più interessante per un pubblico enterprise. Apre le porte del firewall per il traffico RDP in ingresso, crea un utente nel gruppo “Remote Desktop Users”, sostituisce la termsrv.dll legittima con una versione modificata per consentire sessioni RDP concorrenti e crea un’attività pianificata chiamata Apple Sync che mantiene ogni ora un tunnel SSH inverso sulla porta RDP locale.

Da qui parte l’anello che porta ai plugin. Il bot recupera i moduli via SFTP e li esegue tramite HDUtil , un launcher protetto con VMProtect, usando il comando target ; l’argomento opzionale nouac di quel comando esegue il bypass dell’UAC tramite RPC di Windows e un msconfig.exe auto-elevato, tecnica descritta da Google Project Zero nel 2019. L’ultima consegna è Volume2 , un’utility open source collegata a una protobuf.dll malevola: la libreria appare legittima ma espone una funzione ProtobufGetVer2 che decritta e avvia l’implant vero, cioè il dispatcher di plugin. Il payload è cifrato con AES-GCM e chiave statica a 256 bit, ma con il tag di autenticazione omesso, quindi senza verifica d’integrità. Il meccanismo è quello del DLL hijacking, utile come indicatore per la detection; tra i verdetti con cui Kaspersky rileva il framework figura infatti anche Trojan.Win32.Dllhijack.* .

L’arsenale modulare e il dispatcher

Il dispatcher interroga il server di comando ogni venti secondi; i ricercatori hanno individuato cinque plugin: un wrapper per CMD, uno per PowerShell, un enumeratore d’ambiente, un dropper e un process injector. È il process injector a mettere in campo i quattro implant veri e propri, iniettandoli in processi legittimi: ext_daemon , SeedHunter , MC Keylogger e OkoSpyware . Il primo si aggancia ai processi dei browser basati su Chromium, non solo Chrome: per Microsoft Edge, ad esempio, viene agganciata la msedge.dll . Installa estensioni malevole concedendo tutti i permessi richiesti; nell’attacco analizzato l’estensione installata era Rilide . L’occultamento passa dalle stesse funzioni interne del browser agganciate dal loader: le estensioni malevole finiscono in un array dedicato e, quando quelle funzioni vengono invocate con tali estensioni come parametro, non fanno nulla e restituiscono un valore costante, sopprimendo le notifiche ed escludendole dall’elenco visibile, mentre le altre estensioni continuano a comportarsi normalmente. In fase d’installazione le estensioni vengono inoltre scompattate nella directory non predefinita Local Extension Settings , con il manifest modificato al volo per iniettare un oggetto custom_args contenente l’identificativo della macchina infetta ( hwid ) e il browser.

Il MC Keylogger registra tasti e appunti (testo, immagini e percorsi dei file copiati), traccia i dispositivi USB collegati e cattura uno screenshot ogni cinque minuti. OkoSpyware confronta le finestre attive con un elenco di oltre cento nomi di eseguibili, tra cui wallet come Exodus e Litecoin QT e gestori di password come KeePassXC e 1Password, e intercetta anche i titoli delle finestre dei browser tramite espressioni regolari (ad esempio le pagine delle estensioni MetaMask o Tonkeeper), avviando la registrazione video con FFmpeg e il logging dei tasti. L’esfiltrazione chiude il ciclo ed è anche anti-forense: uno script TookPS lanciato da un’attività pianificata riceve dal C2 uno script PowerShell dedicato, invia all’endpoint ir-post.php tutti i file prodotti da MC Keylogger e OkoSpyware , poi li cancella dal sistema e svuota il file di cronologia ConsoleHost_history.txt .

L’inganno su Ledger e Trezor

Il modulo SeedHunter si inietta nei processi di Trezor Suite, Ledger Wallet e Ledger Live agganciando le funzioni interne del framework Electron delle applicazioni: la finestra fraudolenta nasce quindi dentro l’app legittima. Il modulo interroga il C2 moonsand[.]store e riceve un flag Wait : se è true , avvia scansioni periodiche dei dispositivi USB filtrate per VID e PID e attende che venga collegato un Ledger o un Trezor per mostrare la pagina di phishing; se è false , la pagina compare subito. Il punto controintuitivo è proprio questo: il dispositivo hardware non viene compromesso, viene aggirato il software companion, ed è l’utente a consegnare la seed phrase digitandola nella schermata falsa. Chi cede quella sequenza perde il controllo dei fondi, perché la frase di recupero vale più della password e non è revocabile.

Un framework mantenuto, attribuzione prudente

L’evoluzione documentata da Kaspersky è la prova che il framework è manutenuto attivamente. Già a marzo 2026 il componente Volume2 viene installato direttamente da TookPS , la vecchia catena HDUtil verso extl verso Rilide risulta abbandonata e sostituita integralmente dal plugin ext_daemon (funzionalmente identico a extl.exe , solo meno offuscato e privo di VMProtect), mentre TeviRAT è stato rimosso perché le sue funzioni sono coperte dal nuovo dispatcher; sempre da marzo 2026 la protobuf.dll è stata rinominata version.dll . Sull’attribuzione Kaspersky è netta: non collega la campagna ad alcun attore noto. Segnala però indizi circostanziali che rimandano ad attori di lingua russa, tecnica peraltro diffusa in quell’ambiente: i server della prima fase restituiscono una risposta vuota agli indirizzi IP di Russia e CSI, il codice sorgente delle pagine di phishing di SeedHunter contiene commenti in russo e l’infostealer Rilide circola su forum di cybercrime di lingua russa ad accesso su invito. Un’avvertenza sugli indicatori: il post pubblico ne espone solo un sottoinsieme, mentre la lista completa e gli script di decrittazione sono riservati ai clienti del servizio Kaspersky Threat Intelligence Reporting.

Sul piano difensivo gli artefatti non mancano: file come %PROGRAMDATA%hwid.dat (l’identificativo di macchina che ogni componente verifica all’avvio, terminando se assente o non valido, il che ostacola anche l’analisi fuori dall’host bersaglio), %PROGRAMDATA%HDVideoHDUtil.exe e %USERPROFILE%.sshgo.bat , account non autorizzati nel gruppo “Remote Desktop Users”, traffico SSH in uscita da endpoint utente, la sostituzione di termsrv.dll e l’attività pianificata Apple Sync , fino allo svuotamento di ConsoleHost_history.txt come segnale post-esfiltrazione. Il messaggio operativo resta duplice: trattare le workstation degli sviluppatori come asset ad alto rischio e ricordare agli utenti che nessun software legittimo chiede di digitare la seed phrase del wallet hardware su schermo.

Condividi sui Social Network:

Ultimi Articoli